Article IT et données personnelles Droit de la propriété intellectuelle, média et art Droit de la concurrence, consommation et distribution | 22/04/21 | 11 min. | Charles Bouffier Antoine Boullet
La Commission européenne a présenté hier, le 21 avril 2021, une proposition de règlement visant à établir des règles harmonisées en matière d’intelligence artificielle (« Acte sur l’intelligence artificielle » ou « Artificial Intelligence Act »). Ce texte a notamment pour ambition d’encadrer les utilisations risquées de l’IA.
Contexte et objectifs de la proposition
La proposition de règlement s’inscrit dans le prolongement de la publication par la Commission européenne le 19 février 2020 du Livre Blanc sur l’intelligence artificielle visant à définir des options stratégiques concernant la manière de promouvoir le recours à l’IA et de tenir compte des risques associés, ayant donné lieu à une large consultation publique jusqu’en juin 2020. Elle fait également suite aux trois résolutions adoptées par le Parlement européen le 20 octobre 2020[1] en matière d’IA, et des travaux en cours du Conseil de l’Europe.
Selon l’exposé des motifs, le texte poursuit quatre objectifs :
●veiller à ce que les systèmes d’IA mis sur le marché de l’Union et utilisés soient sûrs et respectent la législation existante sur les droits fondamentaux et les valeurs de l’Union ;
● assurer la sécurité juridique pour faciliter l’investissement et l’innovation dans l’IA ;
● améliorer la gouvernance et l’application effective de la législation existante sur les droits fondamentaux et les exigences de sécurité applicables aux systèmes d’IA ;
● faciliter le développement d’un marché unique pour l’utilisation d’IA légales, sûres et dignes de confiance et prévenir la fragmentation du marché.
L’approche adoptée par la Commission consiste ainsi en la recherche d’un équilibre entre d’une part l’adoption d’exigences minimales pour encadrer les risques et problèmes liés à l’IA et d’autre part l’établissement d’un cadre suffisamment flexible pour ne pas contraindre ou entraver indûment le développement technologique, ni augmenter de manière disproportionnée les coûts de mise sur le marché.
La proposition de la Commission s’accompagne, par ailleurs, d’un nouveau plan coordonné entre la Commission et les États membres sous forme d’actions concrètes destinées à renforcer l’adoption de l’IA, des investissements et de l’innovation dans l’ensemble de l’UE.
Selon les dispositions de la proposition, le règlement aurait un champ d’application large, s’étendant aux :
● prestataires mettant sur le marché ou mettant en service des systèmes d’IA dans l’Union, que ces prestataires soient établis dans l’Union ou dans un pays tiers ;
● utilisateurs de systèmes d’IA situés dans l’Union ;
● fournisseurs et utilisateurs de systèmes d’IA situés dans un pays tiers, lorsque les données de sortie produites par le système sont utilisées dans l’Union.
Un « système d’intelligence artificielle », objet de la proposition, est défini de manière large et neutre comme un : « logiciel développé à l’aide d’une ou de plusieurs des techniques et approches énumérées à l’annexe I et qui peut, pour un ensemble d’objectifs définis par l’homme, générer des résultats tels que du contenu, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels ils interagissent » (traduction libre). L’annexe I contient ainsi une liste de formes d’IA – susceptible d’évoluer en raison du caractère évolutif des nouveaux développements technologiques en matière d’IA – regroupant les approches d’apprentissage automatique (« machine learning »), les approches basées sur la logique et la connaissance, et les approches statistiques.
La proposition de la Commission prévoit d’établir un cadre réglementaire différencié en fonction des risques présentés par les utilisations de l’IA. Ainsi, une distinction est faite entre : les utilisations interdites car présentant des risques inacceptables, les utilisations réglementées car présentant des risques élevés et les utilisations soumises à des obligations de transparence car présentant certains risques de manipulation.
Les utilisations interdites
La proposition de règlement établit une liste d’usages interdits qui sont considérés comme contrevenant aux valeurs de l’Union, notamment aux droits fondamentaux. Sont ainsi prohibées :
● la mise sur le marché, la mise en service ou l’utilisation de systèmes d’IA ayant le potentiel de manipuler les personnes au moyen de techniques subliminales afin de modifier leur comportement d’une manière susceptible de leur causer ou de causer à une autre personne un préjudice ;
● la mise sur le marché, la mise en service ou l’utilisation de systèmes d’IA susceptibles d’exploiter les vulnérabilités de groupes de personnes spécifiques afin de modifier leur comportement d’une manière susceptible de leur causer ou de causer à une autre personne un préjudice ;
● la mise sur le marché, la mise en service ou l’utilisation de systèmes d’IA par des autorités publiques à des fins de scoring social basé sur l’IA ;
● les utilisations de systèmes d’identification biométrique à distance et « en temps réel » dans les espaces accessibles au public aux fins de l’application de la loi.
Les utilisations présentant des risques élevés
La proposition de règlement prévoit ensuite l’application de règles spécifiques aux systèmes d’IA présentant un risque élevé pour la santé, la sécurité ou les droits fondamentaux des personnes. En particulier, sont visés d’une part les systèmes d’IA destinés à être utilisés comme composant de sécurité de produits et soumis à une évaluation de conformité ex ante par un tiers, et d’autre part d’autres systèmes d’IA ayant principalement des incidences sur les droits fondamentaux et explicitement énumérés à l’annexe III (identification biométrique, éducation, processus de recrutement, etc. – la liste pouvant être modifiée par la Commission).
L’utilisation de tels systèmes d’IA est ainsi permise sous réserve du respect de certaines exigences obligatoires et d’une évaluation de conformité ex ante, parmi lesquelles :
● l’établissement, la mise en œuvre, la documentation et la maintenance d’un système de gestion des risques ;
● l’utilisation d’ensembles de données répondant à différents critères de qualité (représentatifs, non biaisés, adaptés aux spécificités géographiques ou comportementales, etc.) ;
● l’établissement d’une documentation technique avant la mise sur le marché ou la mise en service et son maintien ;
● la capacité d’enregistrement automatique d’événements (« journaux ») pendant le fonctionnement des systèmes d’IA ;
● l’assurance d’un fonctionnement suffisamment transparent pour permettre aux utilisateurs d’interpréter les résultats du système et de les utiliser de manière appropriée ;
● la supervision effective par des personnes physiques pendant la période d’utilisation du système d’IA ; et
● l’obtention, compte tenu de leur finalité, d’un niveau approprié d’exactitude, de robustesse, de cybersécurité, et de cohérence.
La conformité des systèmes d’IA présentant des risques élevés est ainsi évaluée au regard des critères susvisés, mais également d’un certain nombre d’obligations spécifiques à la charge des fournisseurs de tels systèmes, parmi lesquelles des obligations relatives à l’établissement de la documentation, à l’évaluation de conformité ou encore à la notification et à la coopération avec les autorités compétentes. Dans ce cadre, la proposition de règlement définit les mécanismes de notification aux autorités compétentes, ainsi que les procédures d’évaluation de la conformité à suivre pour chaque type de système d’IA présentant des risques élevés.
Les utilisations présentant certains risques de manipulation
La proposition de règlement contient enfin des règles spécifiques applicables à certains systèmes d’IA présentant des risques de manipulation, notamment dès lors qu’ils (i) interagissent avec des humains, (ii) sont utilisés pour détecter des émotions ou établir des associations entre des catégories (sociales) sur la base de données biométriques, ou (iii) génèrent ou manipulent des contenus (« deep fakes »). Il est ainsi prévu que des obligations de transparence s’appliqueront à ces systèmes, notamment afin d’informer les utilisateurs.
Etablissement de codes de conduite
Pour les systèmes d’IA ne présentant pas de risques élevés, la Commission propose d’établir un cadre destiné à favoriser la création volontaire de codes de conduite contraignants par les fournisseurs de tels systèmes.
La proposition de la Commission prévoit la création d’un Conseil européen de l’intelligence artificielle (« European Artificial Intelligence Board »), composé de représentants des États membres et de la Commission. Au niveau national, les États membres devront désigner une ou plusieurs autorités nationales compétentes dans le but de superviser l’application et la mise en œuvre du règlement. Le Contrôleur européen de la protection des données (« European Data Protection Supervisor ») agira en tant qu’autorité compétente pour le contrôle des institutions, agences et organes de l’Union.
Il est également prévu la mise en place d’autorités de surveillance du marché chargées du contrôle ex post du respect des obligations et des exigences pour tous les systèmes d’IA à haut risque déjà mis sur le marché.
En termes de sanction, la proposition de règlement prévoit des pénalités pouvant aller jusqu’à 30 millions d’euros ou 6 % du chiffre d’affaires annuel mondial si ce montant est plus important, en cas de non-respect des usages interdits et/ou des obligations relatives aux ensembles de données. En cas de manquement aux autres obligations prévues par la proposition de règlement, le plafond est de 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial si ce montant est plus important.
Le Parlement européen et les États membres devront adopter la proposition de règlement dans le cadre de la procédure législative ordinaire. Le cas échéant, aux termes d’un délai de 24 mois suivant son entrée en vigueur, le règlement sera directement applicable dans toute l'UE.
[1] Résolution du Parlement européen du 20 octobre 2020 contenant des recommandations à la Commission concernant un cadre pour les aspects éthiques de l’intelligence artificielle, de la robotique et des technologies connexes (2020/2012(INL)) ; Résolution du Parlement européen du 20 octobre 2020 contenant des recommandations à la Commission sur un régime de responsabilité civile pour l’intelligence artificielle (2020/2014(INL)) ; Résolution du Parlement européen du 20 octobre 2020 sur les droits de propriété intellectuelle pour le développement des technologies liées à l’intelligence artificielle (2020/2015(INI))